Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crittografia dei dati scritti dai job DataBrew
DataBrew i job possono scrivere su destinazioni Amazon S3 crittografate e Amazon CloudWatch Logs crittografati.
Argomenti
Configurazione per l'utilizzo DataBrew della crittografia
Segui questa procedura per configurare DataBrew l'ambiente per l'utilizzo della crittografia.
Per configurare DataBrew l'ambiente in modo che utilizzi la crittografia
-
Crea o aggiorna le tue chiavi AWS KMS per concedere AWS KMS le autorizzazioni ai ruoli AWS Identity and Access Management(IAM) che vengono trasferiti ai DataBrew job. Questi ruoli IAM vengono utilizzati per crittografare CloudWatch i log e le destinazioni Amazon S3. Per ulteriori informazioni, consulta Encrypt Log Data in CloudWatch Logs Using AWS KMS nella Amazon CloudWatch Logs User Guide.
Nell'esempio seguente
"role1", e"role2"sono i ruoli IAM che vengono trasferiti ai job. DataBrew Questa informativa descrive una politica chiave KMS che autorizza i ruoli IAM elencati a crittografare e decrittografare con questa chiave KMS."role3"{ "Effect": "Allow", "Principal": { "Service": "logs.region.amazonaws.com", "AWS": [ "role1", "role2", "role3" ] }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }L'
Serviceistruzione, mostrata come"Service": "logs., è obbligatoria se si utilizza la chiave per crittografare i log. CloudWatchregion.amazonaws.com" -
Assicuratevi che la AWS KMS chiave sia impostata su
ENABLEDprima di essere utilizzata.
Per ulteriori informazioni sulla specificazione delle autorizzazioni utilizzando i criteri AWS KMS chiave, vedere Utilizzo dei criteri chiave in.AWS KMS
Creazione di un percorso per AWS KMS per lavori in VPC
Puoi connetterti direttamente a AWS KMS attraverso un endpoint privato nel cloud privato virtuale (VPC, Virtual Private Cloud) invece che tramite Internet. Quando utilizzi un endpoint VPC, la comunicazione tra il tuo VPC e il tuo VPC AWS KMS viene condotta interamente all'interno della rete.AWS
Puoi creare un endpoint AWS KMS VPC all'interno di un VPC. Senza questo passaggio, i tuoi DataBrew lavori potrebbero fallire con un. kms timeout Per istruzioni dettagliate, consulta Connessione a AWS KMS un endpoint VPC nella Guida per gli AWS Key Management Service sviluppatori.
Seguendo queste istruzioni, sulla console VPC
Scegli Abilita nome DNS privato.
Per il gruppo di sicurezza, scegli il gruppo di sicurezza (inclusa una regola di autoreferenziazione) che usi per il tuo DataBrew lavoro che accede a Java Database Connectivity (JDBC).
Quando esegui un DataBrew processo che accede agli archivi dati JDBC, DataBrew devi disporre di un percorso verso l'endpoint.AWS KMSÈ possibile fornire il percorso con un gateway NAT (Network Address Translation) o con un endpoint AWS KMS VPC. Per creare un gateway NAT, consulta Gateway NAT nella Guida per l'utente di Amazon VPC.
Configurazione della crittografia con AWS Chiavi KMS
Quando abiliti la crittografia su un processo, si applica sia ad Amazon S3 che a. CloudWatch Il ruolo IAM passato deve disporre delle seguenti AWS KMS autorizzazioni.
Per ulteriori informazioni, consulta i seguenti argomenti nella Guida per l'utente di Amazon Simple Storage Service:
-
Per informazioni su
SSE-S3, consulta Protezione dei dati tramite Server-Side crittografia con Amazon S3-Managed Encryption Keys (SSE-S3). -
Per informazioni su
SSE-KMS, consulta Protezione dei dati tramite Server-Side crittografia con chiavi AWS gestite da KMS (). SSE-KMS